čtvrtek, ledna 28, 2016

CPDP 2016 - část první



Dnes začala v Bruselu konference Computer Privacy and Data Protection (CPDP 2016). Plný den zcela napěchovaný tím nejlepším, co sféra ochrany soukromí a osobních údajů může nabídnout. Sešli se zde zástupci akademie, businessu i zákonodárci a ve čtyřech paralelních streamech po celý den probírali aktuální témata, kterým vévodilo zejména před měsícem schválené znění návrhu GDPR a jeho možné důsledky. Organizátorům konference je třeba přiznat, že se jim (minimálně dnes) dařilo skládat nesmírně zajímavé panely, do kterých cíleně vybírali řečníky s rozdílným původem, ať už národnostním, nebo profesním. Nejednou jsem zažíval drobnou frustraci nad tím, že nemůžu být na více sekcích najednou, což, jak na zahájení konference tvrdil Paul De Hert, byl přesně záměr. Plný program je k nahlédnutí zde.

Den byl opravdu nabitý a popisovat přesně každý příspěvek není, domnívám se, vhodné (ani možné). V následujících odstavcích se pokusím vybrat a vyzdvihnout ty nejzajímavější názory a komentáře, které dnes zazněly (a u kterých jsem byl). Místy připojuji vlastní úvahy, které označuji „JM“.
Tématem první sekce, kterou jsem se zúčastnil, bylo „Risk-based approach to privacy: How far should we go?“ GDPR cíleně pracuje s hodnocením rizikovosti zpracování osobních údajů (např. nezbytnost v určitých případech vypracovat Data Protection Impact Assessment, povinnost v případech rizikového zpracování upozornit na únik dat atd.), což panelisté hodnotili kladně jako projev moderního přístupu k regulaci ochrany osobních údajů. Obecně panovala shoda, že přístup k ochraně osobních údajů postavený více na hodnocení rizik je cesta, kudy se vydat. Důležité pak je najít ideální rovnováhu mezi rizikem a užitečností údajů. (Zde se vynořuje obvyklý problém, na který tak často narážíme v případě anonymizace. JM) Bojana Bellamy z britské advokátní kanceláře Hunton & Williams tvrdila, že korporace jsou zvyklé dělat analýzu rizik, ale centrem jejich zájmu jsou ony samy, a nikoli jejich zákazníci a jejich soukromí. Krom toho připomněla, že risk based approach nemá nahradit současný systém ochrany, ale má ho podpořit a učinit efektivním. Ve světě, kde takřka vše jsou osobní údaje, je třeba přiřadit prioritu a regulovat zpracování těch, které opravdu riziko představují. Raphael Gellert (Vrije Universiteit Brussel) připomněl, že určitá forma hodnocení rizikovosti zpracování je součástí systému ochrany osobních údajů od jeho počátku a nabídl zajímavou komparaci procesu vyhodnocování rizik (v obecném slova smyslu) a současné právní regulace ochrany soukromí. Navázal na něj Henry Rothstein (King’s College London), který navrhoval inspirovat se v dalších oblastech, kde už se hodnocení rizik dělá (ochrana životního prostředí). Obecný problém, na který poměrně vhodně ukázala diskuze, spočívá v tom, že v případě ochrany osobních údajů je nesmírně obtížné potenciální rizika vyčíslit a tak rozřadit jejich intenzitu.
Druhý panel byl věnován nezbytné reformě, která teď po přijetí GDPR čeká E-privacy směrnici (2002/58/ES). Rosa Barcelo (Evropská Komise, DG CNECT) přednesla plán, dle kterého během roku 2016 má dojít k vyhodnocení současného stavu směrnice a její kompatibility s GDPR. V první polovině roku bude probíhat sběr dat - od široké veřejnosti pomocí online dotazníku, a následně formou workshopů od společností působících v odvětví a národních orgánů, které mají agendu ve své působnosti (obvykle DPA, občas orgán dozorující elektronické komunikace). V druhé polovině roku 2016 by pak měly být k dispozici výsledky tohoto šetření. V současné době předvídají jako možné střety s GDPR například právě výše uvedenou nejednotnost sytému odpovědných orgánů, rozdílnou výši pokut a legislativní formu (směrnice / nařízení). Důležitým faktorem, o kterém Rosa Barcelo hovořila je faktické rozšíření působnosti nové úpravy na subjekty, na které současná směrnice nedopadá, byť poskytují typově podobné služby (tedy na poskytovatele služeb informační společnosti, jejichž služba spočívá ve zprostředkování komunikace - např. WhatsApp, ICQ a další). Anna Buchta (EDPS), která se podílela na reformě e-privacy směrnice roku 2009, mezi řečí naznačila, že by nový předpis měl mít formu nařízení, a že je nezbytné soustředit se na hlavní principy již nyní přítomné ve směrnici. Els De Busser (Max Planck Institute) byla opatrnější a připomněla, že v současné době je úroveň harmonizace e-privacy směrnice nesmírně nízká. Je tak třeba brát v potaz reálný stav v konkrétních národních státech. Krom toho, vzhledem k data retention a jeho použitelnosti jako důkazu v trestním řízení, je třeba zvážit národní úpravy trestního procesu, které leží zcela mimo legislativní kompetence Unie.
Třetí sekce nesla název „Making sense of right to data probability“. Lilian Mitrou (Evropská Rada) shrnula vývoj tohoto nového práva v rámci legislativního procesu GDPR. Jedná se o extenzi práva subjektu údajů na přístup k nim. Správce je má povinnost vydat v takové podobě, že je bude moct rovnou zpracovávat jiný poskytovatel služeb informační společnosti, které chce subjekt začít používat. (Jedná se tedy o cestu jak uniknout z technického uzamčení v rámci jedné služby a možnost přejít k jinému poskytovateli. Možnost takové volby je uvažována od počátků kyberprostoru jako způsob, jak může jedinec rozhodnout, které komunity chce být součástí; které množině norem chce být adresátem. JM). V konečné verzi se to však týká jen těch údajů, které subjekt správci sám poskytnul se souhlasem, nebo jako součást plnění smlouvy. Toto právo tak nedopadá na zpracování dat státními orgány (byť se panelisté shodli na tom, že by byla lákavá a užitečná možnost nechat si v přenositelné podobě nechat udělat například kopii dat, které o člověku vede finanční úřad za účelem daňové optimalizace).  Zdaleka nejzajímavější příspěvek v panelu měl Peter Swire (Georgia Tech.), který se zabýval otázkou data portability z hlediska soutěžního práva. Na tomto místě jen odkážu na jeho text, který k tématu napsal, když se Right to Data Portability poprvé objevilo v návrhu GDPR.
Čtvrtá sekce se zabývala praktickými otázkami souvisejícími s nástupem GDPR. Gerrit Hornung (University of Kassel) ji zahájil lakonickým prohlášením „Brusel svoji práci dokončil, teď čeká práce nás ostatní.“ Problém, na který upozornil, je nejasná intepretace ustanovení, která jsou nesmírně podobná ustanovením Směrnice, ale která mohou být fakticky výrazně rozpracována v národních právních řádech (jako příklad uvedl Německo a detailní zákonnou úpravu různých oprávněných zájmů správce údajů). Není jasné, jak bude možné v praxi postupovat, očekává však určitou setrvačnost současného stavu (vznik právní zvyklosti? JM). Jako zcela zásadní pro hladký přechod a vyřešení interpretačních problémů vnímá vztah hardlaw (GDPR, národní implementace) a softlaw (stanoviska WP29, nově EDPB). O přerodu WP29 v European Data Protection Board a o funkcích DPA mluvila ve svém příspěvku Florence Raynal (CNIL). Uvedla tři úrovně problémů, které bude v této souvislosti nezbytné vyřešit. Za prvé to bude faktická změna, kdy EDPB již nebude jen poradním, ale výkonným orgánem. Během dvou let, které nyní na změnu jsou, se tak bude muset WP29 připravit, aby od prvního dne účinnosti GDPR mohl EDPB fungovat jak má. V této přípravné době však bude zároveň plnit všechny činnosti, které plní v současné době jako WP29. Za druhé je třeba rozhodnout a sladit nový užší režim spolupráce mezi národními DPA, ať už půjde o one stop shop, přeshraniční případy, sankce atd. Třetí oblasti, na kterou je třeba se připravit, je pak působení DPA na národní úrovni. Sekci zakončoval Brendon Lynch (Microsoft), který nejprve odmítl argument, že by je doposud zajímal risk management jen z hlediska firmy a ne zákazníků. Bez důvěry zákazníků není možné obchodovat. Připomněl, že se osobní data volně pohybují napříč jurisdikcemi, ale zákony na ochranu soukromí jsou stále národní. Je proto dle něj třeba vytvářet nadnárodní rámec. Jako jediný z panelistů také dokázal v závěru sekce splnit zadání moderátora Wojciecha Wiewiorovskeho (Evropský inspektorát ochrany údajů), aby formou tweetu vyjádřil, co je teď z hlediska přechodu na GDPR nejvíce potřeba, když odpověděl: „Drive for consistency, remove uncertainty. Now, please.“
Poslední dvě sekce již jen velmi telegraficky, protože mi vlivem únavy poněkud selhal systém poznámek. Pátá sekce se týkala rozporu zásady minimalizace zpracovávaných údajů a personalizovaného užívání technologií. Mario Guglielmetti (Evropský inspektorát ochrany údajů) komparoval rozdílné způsoby, jak prakticky k naplnění této zásady dochází ve veřejném a soukromém sektoru a Jan Schultze-Melling (Facebook) k překvapení všech tvrdil, že Facebook aplikuje zásadu privacy by design (nikoli však privacy by default – to již nepřekvapivě). Šestá sekce byla v režii IViRu a byla věnována behaviorálnímu zacílení na voliče během předvolebních kampaní. Z právního hlediska byl hodnotný věcný výstup Gabriely Zanfir (Evropský inspektorát ochrany údajů), praktiky v předvolební kampani ve Spojených státech pak přiblížila D. Sunshine Hilligus (Duke University). Extrémně zajímavá byla zejména následná diskuze, na kterou má smysl se podívat ze záznamu, až ho organizátoři konference publikují.
Závěrem reportáže z prvního dne se ještě musím zmínit o pozdvižení, které mezi přítomnými (a zejména na Twitteru) způsobila volba sponzorů konference. Mezi čtveřicí platinových sponzorů je Facebook, jen o stupeň níž pak Google a Palantir. Mléčná čokoláda zabalená do modrého obalu s logem Facebooku byla například součástí konferenčních balíčků. Bylo poměrně zábavné sledovat na hlavním plátně během dopolední sekce Twitter live feed. Do doby než ho vypnuli a nahradili problikávajícími obrazovkami s logem konference, partnerských univerzit… a sponzorů.

---
Cesta se uskutečnila v rámci projektu Interception of Electronic Communication in the Czech Republic and Slovakia (MUNI/A/1153/2015)

Žádné komentáře: